中小學校園網(wǎng)中P2P應用的管理策略

周 強

摘 要:在目前中小學校園網(wǎng)普遍采用用戶共享固定帶寬接入的聯(lián)網(wǎng)模式下,P2P應用大量占用網(wǎng)絡帶寬成為校園網(wǎng)管理的突出問題。在沒有對校園網(wǎng)P2P應用進行策略管理的情況下,P2P應用的流量一般占用了網(wǎng)絡60%～90%的帶寬,使得學校的正常應用往往得不到保障。文章根據(jù)筆者工作實踐,在實地調(diào)查大量校園網(wǎng)實例的基礎上,針對P2P應用,從客戶端和出口兩個方面分別運用Windwos 2008組策略禁止相關軟件運行和Forefront TMG 2010流量插件限制線程、流量進行管理。

關鍵詞:校園網(wǎng);P2P;組策略;線程;帶寬

中圖分類號:TP393.18文獻標識:A 文章編號:1673-8454(2010)14-0072-03

引言

P2P指的是Peer-to-Peer,直接翻譯是點對點傳輸,P2P與傳統(tǒng)的少數(shù)服務器服務多個用戶的C/S服務模式不同,大部分的服務靠用戶間互相提供服務完成。通俗的講,就是采用“人人為我,我為人人”的服務模式,通過多線程提高上傳、下載速度。P2P給中小學校園網(wǎng)用戶帶來高速下載、高清網(wǎng)絡視頻、流暢網(wǎng)絡音樂等便利的同時,也帶來了一系列問題,如病毒的加速傳播、知識產(chǎn)權的侵犯、網(wǎng)絡帶寬的大量占用等。

在目前中小學校園網(wǎng)普遍采用用戶共享固定帶寬接入的聯(lián)網(wǎng)模式下,P2P應用大量占用網(wǎng)絡帶寬的問題尤為突出。在沒有對校園P2P應用進行策略管理的情況下,P2P應用的流量一般占用了網(wǎng)絡60%～90%的帶寬,極端情況下幾乎完全占用接入帶寬。學校投入大量資金建成的信息高速公路經(jīng)常因此堵塞,使得教學、科研和管理等工作的正常應用得不到保障。

圖1為在100M接入的某中學校園網(wǎng)中,在沒有對P2P進行管理的情況下,用迅雷下載一部電影的實時截圖,顯示速度達8.29MB/s,8.29MB/s*8=66.32MB/s,一個用戶下載一部電影占用的帶寬達校園網(wǎng)接入帶寬的60%以上,如果多個用戶、下載多部影片,或同時觀看P2P在線視頻,其結(jié)果可想而知。

有些學校原先使用10M光纖接入,在發(fā)現(xiàn)上網(wǎng)速度變慢時,首先考慮提高帶寬。從前面的例子可以看出,雖然網(wǎng)速提高了10倍,但并不能根本解決問題, P2P運用會立即吞噬新增的網(wǎng)絡帶寬,學校增加了大量的接入費用支出,結(jié)果只是部分P2P用戶充分享受了信息高速,學校的關鍵性正常應用卻沒有得到改善,這已成為目前中小學校園網(wǎng)普遍存在的問題。目前針對P2P應用進行管理的方法很多,本文根據(jù)筆者多年的工作實踐,在實地調(diào)查大量中小學校園網(wǎng)實例的基礎上,總結(jié)出以下P2P應用的管理策略,即從校園網(wǎng)的客戶端和出口兩方面對P2P應用進行有效管理。

一、運用組策略禁止P2P軟件運行

通過Windows活動目錄,實施組策略可方便、有效地對客戶端運行的軟件進行管理,本文以在Windows Server 2008 的活動目錄環(huán)境下實施組策略限制迅雷運行為例,運用組策略禁止軟件運行的方法有幾種,其中“不要運行指定的Windows應用程序”這一策略,只要客戶端更改應用程序名即失去控制作用;而軟件限制策略中的“散列規(guī)則”,當應用軟件升級或用工具軟件修改執(zhí)行文件的散列值,也同樣會失去控制作用。

通過限制dll文件的方法能有效限制軟件的運行,dll是Dynamic Link Library的縮寫,是動態(tài)鏈接庫的意思,封裝著Windows應用程序的函數(shù)。程序在執(zhí)行的時候, 必須調(diào)用相應的dll文件中對應的函數(shù), 才能夠正確地運行。如果執(zhí)行文件調(diào)用的dll文件被禁止運行,相應的執(zhí)行文件就無法完成相應的功能。應用程序在升級的過程中,dll文件不可能全部改變,用戶也不可隨便更改dll文件名,更改了dll文件名,執(zhí)行文件就無法調(diào)用對應的dll文件,所以禁止dll文件運行,是禁止軟件運行的有效方式。方法思路如下:

1.網(wǎng)絡中需要有一臺Windows Server 2008服務器升級到Active Directory(活動目錄,以下簡稱AD) ,用于提供身份驗證及對校園網(wǎng)用戶實施組策略。為便于管理,用姓名全拼在AD上為學校教師創(chuàng)建實名賬號,所有的工作站以實名加入AD。

2.創(chuàng)建限制dll文件運行組策略。單擊“開始”→“管理工具”→“組策略管理”→“域”→“組策略對象”,右擊 “新建”,在“名稱框”中輸入“禁止迅雷運行”, 右擊“禁止迅雷運行”→“編輯”→“用戶配置”→“策略”→“Windows設置”→“安全設置”→“軟件限制策略”,右擊“軟件限制策略”→“創(chuàng)建軟件限制策略” →“其他規(guī)則”,右擊“其他規(guī)則”,選擇“新建路徑規(guī)則”,在路徑名稱框中輸入ThunderStorage.dll。

單擊“軟件限制策略”→“強制”→“應用軟件限制策略到下列文件”→“把默認的庫文件(如 dll)之外的所有軟件文件”改為“所有軟件文件”。

運行“gpupdate /force”強制刷新組策略,客戶端注銷登錄后啟動迅雷,提示不能正常啟動迅雷(如圖2)。

二、限制P2P應用的線程、流量

對于互聯(lián)網(wǎng)應用軟件,一般會考慮從防火墻上創(chuàng)建相應策略,限制服務器IP或服務端口進行管理。對于P2P應用,限制目標服務器的IP地址顯然不行,封服務端口也同樣不可行,如迅雷查詢和下載資源默認使用TCP 3076和 3077端口,雷區(qū)注冊和登錄使用的是TCP 5200和6200端口,如果登錄端口TCP 6200、3076和3077端口都不通,就會自動跳轉(zhuǎn)到Http的80端口登錄。

鑒于上述問題,考慮限制用戶流量或線程的方法加以解決。目前ISA的流量插件、硬件防火墻、專用流量控制設備等都可以對P2P應用的線程及流量進行管理,本文以Forefront TMG 2010(微軟的企業(yè)級路由軟件防火墻 ISA的最新版,ISA Server由于配置靈活,升級方便,在中小學有著廣泛的使用)的插件“Bandwidth Splitter for Forefront TMG 2010”為例,方法思路如下:

1.在Forefront TMG 服務器上安裝“Bandwidth Splitter”流量控制插件。安裝后的流量監(jiān)控界面如圖3,通過該插件,網(wǎng)絡管理員可實時察看上網(wǎng)客戶端的IP、用戶名、機器名、線程數(shù)、下載上傳速度等,并有形象的示意圖,選擇相應的客戶端還可在下方詳細顯示連接情況,為網(wǎng)管員合理設置訪問規(guī)則、流量控制規(guī)則提供依據(jù)。

2.運用Bandwidth Splitter 創(chuàng)建線程、流量控制規(guī)則。啟動Forefront TMG Management 展開Bandwidth Splitter樹形目錄, 右擊“Shaping Rules”菜單→新建“Rule”, 根據(jù)規(guī)則向?qū)Ы⒘髁抗芾聿呗?如圖4所示,規(guī)則由源(Applies To)、目標(Destinations)、計劃(Schedule)、功能(Action)等屬性組成,在功能上可限制流量或線程,考慮到P2P軟件主要因多線程影響其他用戶的上網(wǎng)速度,可針對單一用戶、IP或用戶組、IP集合靈活設置線程數(shù)(Connection Limit)、進出流量(Incoming/Outgoing),一般上網(wǎng)瀏覽網(wǎng)頁只會占用幾個線程,運用P2P軟件一個用戶會占用幾百個線程,網(wǎng)絡管理員可根據(jù)實際運用情況調(diào)整線程數(shù),設置后會起到立竿見影的效果。

結(jié)束語

當前,中小學校園網(wǎng)中P2P應用軟件的數(shù)目不斷增加,流量也呈現(xiàn)逐漸增長的趨勢。為了使教學、科研和管理等工作的正常應用得到保障,必須對P2P流量進行有效的監(jiān)控和管理。中小學校園網(wǎng)管理員可根據(jù)校園中實際流量使用情況,有針對性地對P2P應用選擇禁止或限制策略,保證校園網(wǎng)高效、穩(wěn)定地為教育教學服務。

參考文獻:

[1]戴有煒.Windows 2008 Server 2008 Active Directory配置指南 [M].北京:科學出版社,2009.

[2]ISA中文站[DB/OL].http://www.isacn.org/.

[3]Windows服務器中文站[DB/OL].http://www.winsvr.org/.

(編輯:魯利瑞)